最近,出来了个Log4j2的漏洞,安全圈跟过年了一样,于是也跟着热闹热闹。
Log4j2作为一个开源的Java日志记录插件,被众多项目引用,因此,当其漏洞出现时,影响的范围也极大,可以算是继Python的request库之后的又一重大供应链攻击了。
对其漏洞进行了复现和分析,这里做个记录。
实验环境
Windows10
jdk1.8.(理论上JDK6u、7u、8u之前的版本都行)
Tomcatv9.0
marshalsec(用JNDI-Injection-Exploit也可)
环境搭建
jdk安装
下载指定版本的jdk,双击安装即可,记得勾选将Java添加到path中这个选项,完事之后,在命令行窗口输入java-version查看版本号,出现如下所示界面即为安装成功:
安装成功
maven安装
去